Hoppá! Vigyázni kell az online pókerjátékokkal
Az F-Secure Corporation rootkit-felismerő technológiája, a Backlight leleplezett egy online pókerjátékosokra szakosodott hátsó ajtó programot, amely a felhasználók tudta nélkül eltárolja személyes adataikat, hogy később továbbítsa azokat a program készítőinek - álla cég által kiadott közleményben. Az RBCalc.exe vagy más néven Rakeback Calculator trójai programot online pókerjátékosok esélyeit növelő segédprogramként lehetett letölteni a Checkraised.com szerencsejáték weboldalról.
A számítógéphez illegális hozzáférést biztosító hátsó ajtó úgy jött létre, hogy az RBCalc.exe program minden látható jel nélkül négy futtatható fájlt helyezett el a felhasználó számítógépén, majd egy rootkit segítségével elrejtette a műveletet. Miután ez megtörtént, az eszköz írója hozzáférhetett a felhasználó számítógépén tárolt, különböző online pókerweboldalakra - például a Partypoker, Empirepoker, Eurobetpoker és Pokernow oldalakra - érvényes bejelentkezési információkhoz. Miután a hacker megszerezte a felhasználó belépési kódjait, önmaga ellen játszhatott pókert, úgy hogy az ellopott adatokkal szándékosan veszített, saját nevében pedig begyűjtötte a nyereményt.
"Az online póker egyre nagyobb népszerűsége miatt a rosszindulatú
programok írói felfedezték az internetes szerencsejátékokban rejlő
pénzkereseti lehetőséget. A Rakeback Calculator ügy jelentősége az, hogy a rootkit segítségével elkövetett csalást bár tudtán kívül - egy legális webhely tette lehetővé" - mondta el Kimmo Kasslin, az F-Secure adatbiztonsági laboratóriumának kutatója. "A rosszindulatú kódok írói egyre jobban ismerik a szokványos vírusvédelmi és behatolási technikákat, és folyamatosan keresik az új lehetőségeket. A nagy gyártók szokványos adatbiztonsági termékei nem nyújtottak volna védelmet ez ellen a rootkitalapú program ellen. Az F-Secure Blacklight technológiája nélkül sok online szerencsejátékos válhatott volna csalás áldozatává" - tette hozzá Kimmo Kasslin.
Miután az F-Secure felfedezte a kártevőt, a Checkraised.com
eltávolította weboldaláról a kártékony programot, és hivatalos
közleményben kérte felhasználóit, hogy változtassák meg a
pókerweboldalakra szóló jelszavaikat, továbbá ismertette a kártevő
kézi eltávolításának lépéseit. A Checkraised.com által kiadott teljes állásfoglalás a http://www.checkraised.com/site/apps/rbcalc/rbcalc.php címen érhető el.
Az F-Secure azt ajánlja azoknak a felhasználóknak, akik a
checkraised.com weboldalról letöltötték és futtatták az RBCalc.exe
programot, hogy azonnal ellenőrizzék rendszerük fertőzöttségét. Az új F-Secure Online Scanner Next Generation Beta
(http://support.f-secure.com/enu/home/ols3.shtml) szolgáltatás
segítségével ingyenesen megvizsgálhatják számítógépeiket, és a
program az F-Secure BlackLight motorral felismeri a rejtőzködési
technológiákat alkalmazó kártevőket is.
A rosszindulatú RBCalc alkalmazás technikai leírása elérhető a
http://www.f-secure.com/v-descs/small_la.shtml címen.
A Backlight technológiát is tartalmazó F-Secure Internet Security 2006 megvásárolható a http://www.f-secure.com/estore/ weboldalon. VGO
